圖注 安全管理技術(shù)(支撐)平臺功能組成

“一庫”是指IT基礎(chǔ)資源庫，包括業(yè)務(wù)系統(tǒng)庫、資產(chǎn)庫、配置庫、補(bǔ)丁庫、弱點(diǎn)庫、策略庫、規(guī)則庫、知識庫，等等。IT資源庫包含了安全管理平臺運(yùn)轉(zhuǎn)起來的基礎(chǔ)數(shù)據(jù)，也是安全管理平臺運(yùn)轉(zhuǎn)起來的驅(qū)動(dòng)力之一。對于安全管理平臺而言，應(yīng)該具備IT資源庫信息的維護(hù)功能，例如資產(chǎn)維護(hù)功能，包括資產(chǎn)的增刪改查等。

“四中心”包括了運(yùn)行監(jiān)控中心、安全審計(jì)中心、風(fēng)險(xiǎn)管理中心和運(yùn)維管理中心。

運(yùn)行監(jiān)控中心負(fù)責(zé)對IT資源的運(yùn)行狀況、可用性和業(yè)務(wù)連續(xù)性進(jìn)行持續(xù)監(jiān)測。運(yùn)行監(jiān)控中心應(yīng)該能夠?qū)θW(wǎng)各類IT資源(網(wǎng)絡(luò)、安全、主機(jī)、終端、服務(wù)、應(yīng)用、業(yè)務(wù)等)進(jìn)行實(shí)時(shí)監(jiān)控，采集各種性能和狀態(tài)參數(shù)，建立業(yè)務(wù)健康指標(biāo)體系，全面監(jiān)控IT資源可用性。運(yùn)行監(jiān)控中心產(chǎn)生的各類告警信息一方面可以送入運(yùn)維管理中心觸發(fā)事件響應(yīng)流程，另一方面可以送入安全審計(jì)中心，作為可用性事件參與安全威脅與風(fēng)險(xiǎn)分析。特別地，安全運(yùn)行監(jiān)控中心所需的監(jiān)控信息可以來自于現(xiàn)有的網(wǎng)絡(luò)或應(yīng)用管理系統(tǒng)。

安全審計(jì)中心最核心的工作就是對收集上來的全網(wǎng)安全日志及事件，以及安全監(jiān)控中心發(fā)來的可用性告警進(jìn)行關(guān)聯(lián)分析，發(fā)現(xiàn)外部入侵，識別內(nèi)部違規(guī)。安全審計(jì)中心的核心組件是SIEM(Security Information and Event Management，安全信息與事件管理)系統(tǒng)。

風(fēng)險(xiǎn)管理中心通過風(fēng)險(xiǎn)評估過程和風(fēng)險(xiǎn)計(jì)算方法實(shí)現(xiàn)對IT資源風(fēng)險(xiǎn)的定量化計(jì)算，獲得可衡量的安全風(fēng)險(xiǎn)，并進(jìn)行相應(yīng)的風(fēng)險(xiǎn)控制。風(fēng)險(xiǎn)是資產(chǎn)價(jià)值、弱點(diǎn)度量值與威脅度量值根據(jù)量化算法而得到的一個(gè)量化的安全檢測結(jié)果。典型的風(fēng)險(xiǎn)評估過程和計(jì)算方法可以參照《GB/T 20984-2007信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評估規(guī)范》來實(shí)現(xiàn)。

運(yùn)維管理中心與前面三個(gè)中心有所不同。安全監(jiān)控中心、安全審計(jì)中心和風(fēng)險(xiǎn)管理中心主要是從技術(shù)角度發(fā)現(xiàn)、識別和度量安全威脅與風(fēng)險(xiǎn)，而運(yùn)維管理中心則主要用于借助流程化的手段去響應(yīng)風(fēng)險(xiǎn)，消減風(fēng)險(xiǎn)，并幫助運(yùn)維人員建立起一套例行化、常態(tài)化的風(fēng)險(xiǎn)管理機(jī)制。

運(yùn)維管理中心兩個(gè)最關(guān)鍵的流程分別是巡檢流程和應(yīng)急響應(yīng)流程。巡檢流程作為一個(gè)正常處理工作流，指導(dǎo)運(yùn)維人員根據(jù)預(yù)先制定好的工作計(jì)劃和任務(wù)，定期開展IT信息系統(tǒng)安全檢查，主動(dòng)發(fā)現(xiàn)安全隱患，提前采取有效措施，防范未然，并做好記錄。應(yīng)急響應(yīng)流程作為一個(gè)異常處理工作流，協(xié)助運(yùn)維人員在發(fā)生突發(fā)事件后，根據(jù)預(yù)先制定好的應(yīng)急處置預(yù)案和處理流程，進(jìn)行突發(fā)事件響應(yīng)、評估、通報(bào)、提升、取證、上報(bào)、改進(jìn)等一系列操作，并記錄在案。

除了“一庫四中心”，一個(gè)較完備的安全運(yùn)維管理平臺還應(yīng)該包括一個(gè)“安全管理門戶”。運(yùn)維人員或者管理層用戶訪問這個(gè)門戶，可以看到安全相關(guān)的各類通告發(fā)文，可以進(jìn)入安全論壇進(jìn)行交流，可以借助知識門戶了解和使用各類安全知識、經(jīng)驗(yàn)、案例等。

最重要地，運(yùn)維人員通過門戶可以登錄到各自的“個(gè)人桌面”中。在個(gè)人桌面中，可以顯示與該運(yùn)維人員相關(guān)的預(yù)警、告警、待辦事宜、計(jì)劃任務(wù)，顯示他所負(fù)責(zé)的業(yè)務(wù)系統(tǒng)的安全狀況總覽，可以快速開展與其相關(guān)的各項(xiàng)安全運(yùn)維工作。

3.4 運(yùn)維流程設(shè)計(jì)

稅務(wù)系統(tǒng)安全管理平臺不僅是一個(gè)技術(shù)平臺，還包括依托于這個(gè)技術(shù)平臺的運(yùn)維流程和組織人員體系，安全管理平臺的日常運(yùn)維工作必須遵循相應(yīng)的流程?？傮w上，稅務(wù)系統(tǒng)安全管理平臺的運(yùn)維流程可以劃分為正常處理流程和異常處理流程兩大類，最關(guān)鍵的正常處理流程是巡檢流程和預(yù)警通告流程，而最關(guān)鍵的異常處理流程是應(yīng)急響應(yīng)流程。

1)巡檢流程

巡檢流程作為一個(gè)正常處理工作流，指導(dǎo)運(yùn)維人員根據(jù)預(yù)先制定好的工作計(jì)劃和任務(wù)，定期開展IT信息系統(tǒng)安全檢查，主動(dòng)發(fā)現(xiàn)安全隱患，提前采取有效措施，防范未然，并做好記錄。

2)預(yù)警通告流程

作為一個(gè)正常處理工作流，預(yù)警通告流程主要包括預(yù)警信息和通告信息的發(fā)布、審核和督辦。安全預(yù)警通告的一般性信息應(yīng)包括最新的安全技術(shù)動(dòng)態(tài)、安全公告，病毒信息，漏洞信息等內(nèi)容，并貫穿稅務(wù)系統(tǒng)的總局、省局和地市局。

3)應(yīng)急響應(yīng)流程

應(yīng)急響應(yīng)流程作為一個(gè)異常處理工作流，協(xié)助運(yùn)維人員在發(fā)生突發(fā)事件后，根據(jù)預(yù)先制定好的應(yīng)急處置預(yù)案和處理流程，進(jìn)行突發(fā)事件響應(yīng)、評估、通報(bào)、提升、取證、上報(bào)、改進(jìn)等一系列操作，并記錄在案。

4 稅務(wù)系統(tǒng)安全管理平臺的價(jià)值體現(xiàn)

從整體而言，稅務(wù)系統(tǒng)安全管理平臺的建立為稅務(wù)用戶提供了一套可查、可信、可見的安全體系，讓用戶網(wǎng)絡(luò)安全由被動(dòng)響應(yīng)變?yōu)橹鲃?dòng)響應(yīng)，由單點(diǎn)防御變?yōu)槿娣烙?，由分散的管理變?yōu)榧泄芾?，成為?gòu)建統(tǒng)一業(yè)務(wù)支撐管理體系的技術(shù)和流程支撐平臺。

借助安全管理平臺，稅務(wù)用戶可以建設(shè)一個(gè)專門的安全運(yùn)營監(jiān)控機(jī)房，并設(shè)立一個(gè)監(jiān)控運(yùn)維中心。一線運(yùn)維管理人員在監(jiān)控中心，可以通過大屏幕實(shí)時(shí)掌控全網(wǎng)的整體運(yùn)行狀況和安全狀況，并及時(shí)接收預(yù)警和告警信息，進(jìn)行應(yīng)急響應(yīng)處理。同時(shí)，監(jiān)控中心的信號也可以傳到網(wǎng)絡(luò)和安全管理人員及其相關(guān)領(lǐng)導(dǎo)的辦公室，高級管理人員可以通過瀏覽器界面登錄到系統(tǒng)的監(jiān)控界面，掌握一線人員的實(shí)際運(yùn)維情況，及時(shí)進(jìn)行工作指導(dǎo)。

總之，通過建設(shè)一體化的安全管理平臺，用戶具有以下明顯的收益和意義：

1) 真正建立起一套全面的安全管理平臺和管理體系，包括技術(shù)平臺、管理策略和流程。擺脫過去被動(dòng)地部署各種安全設(shè)備卻又無法提高安全防御效率的惡性循環(huán);

2) 大大提升安全管理人員的工作效率，提升安全運(yùn)維工作的水平;

3) 真正有效地建立符合等級化保護(hù)要求的安全管理體系。

hanrui